Какую технологию выбрать, VLAN или другую? Для домашней сети со странной структурой?
Имеется обычная домашняя сеть. В ней куча неиспользуемый розеток, некоторые используются под телики, сервак, нас, компы и прочие обычные вещи. 16 портов впритык, с учетом роутеров, точек доступа и т.п.
Одновременно есть система IP видеонаблюдения, с камерами установленными снаружи, с легким физическим доступом злоумышленниками.
Посоветуйте бюджетный управляемый коммутатор, с VLAN или подскажите другой метод реализации следующего?
В первую группу подключаются внутренние домашние порты.
Во вторую группу подключаются камеры видеонаблюдения и видеорегистратор.
Когда злоумышленник подключится по кабелю снятому с камеры к сети, он не получит доступа далее второй группы, и не сможет достучаться к домашней части сети. Дополнительно можно привязать к портам мак адреса.
Но в такой конфигурации не будет доступа из домашней сети, к видеорегистратору, для просмотра онлайн или архива.
VLAN поддерживает добавление порта в 2 разные группы? Для получения возможности достучаться из первой группы к 1 устройству из второй группы?
1. Поставьте задачу перед видеонаблюдением.
Иначе оно у вас не источник безопасности, а источник рисков.
2. Не забудьте вам потребуется ещё защита портов коммутатора, иначе злоумышленники подаст в вашу сеть через провод 220, спалит ваш коммутатор выключив остальные камеры.
3. Изоляция портов можно сделать или vlan, или физическим коммутатором.
4. VLAN просто исходя из названия, оно virtual. В ИТ виртуал используется в первую очередь для повышения утилизации ресурсов. Т.е. если вам нужно 48 портов, с разделением два по 24, это дешевле, чем 48 с vlan. Использовать vlan в такой конфигурации может снизить электро потребление и снижает занимаемое место, но снижает устойчивость к отказам и увеличивает стоимость.
5. Маршрутизацию между vlan осуществляет маршрутизатор порты которого находятся в соответствующих вланах.
Простейший микротик как маршрутизатор и 2-3 тупых свича на 5-8 портов(по 1к). На круг выйдет в районе 8к, что равно простенькому свичу L3. На микротике можно рулить этим всем, как VLAN, так и подсетями и мостами между ними(например, прописав маршрут на компе до видеорегистратора, обратного маршрута на регистраторе не будет и попасть с него на комп, или в подсеть с компом, будет нельзя)
Физическая защита по току будет так-же обеспечена копеечными свичами. Злоумышленников, кидающих 220 на витую я не встречал, но молнии жгут порты видеонаблюдения постоянно, наводя на длинную витую, даже с заземлённым экраном.
balkan, Почти любой роутер может заменить в этой схеме микротик. Даже бытовой D-Link, не очень лохматого года, при условии, что вы сможете его настроить через СLI. Я не знаком с Ubiquiti, не могу сказать - насколько удобно его настраивать. Но ,почти уверен, что он сможет. Другой вопрос - можно ли сделать это через его вебморду, не прибегая к терминалу. Это, наверное, надо создавать другой вопрос ).
Примерно сходно будут стоить один коммутатор с вменяемым управлением vlan (на барахолках возможно даже с L2+/L3 фичами) и два "тупых" коммутатора.
Вот во втором варианте эти два коммутатора надо будет подключить к двум портам (которые в разных сетях по сути) своего маршрутизатора. Ну и научить маршрутизатор маршрутизировать между этими двумя сетями. Можно даже в ленивом варианте реализовать nat из локалки в видео)
Теперь я знаю, что такое обычная домашняя сеть :-)
Вы можете 2 VLANа направить в один порт. В этом случае на комп будет приходить тегированный трафик и вам надо будет разруливать VLANы уже на компе. Драйвер сетевого адаптера должен позволять это делать.
Так же можно в комп воткнуть 2 сетевых адаптера, каждый в своем VLANе.
Учтите, что в обоих случаях узким местом становится этот комп, который смотрит в обе сети. Если уличные кулхацкеры его сломают, то доберутся до всего остального.
Кулхацкеры это на всякий случай.
Обычная квартира, после ремонта много розеток, для возможности удобной работы по сети (вифи не всегда идеально работает).
Вне квартиры. в коридорах общих, будет стоять 3-4 камеры, по проводу. Для возможности посмотреть из домашней сети кто там ходит и хулиганит в реалтайме, или узнать кто ходил и гадил из архива,
По грубому, просто что бы шнурки для камер не имели прямого автоматического доступа к устройствам домашней сети :)
balkan, Это понятно.
Просто обычно домашняя сеть - это WiFi роутер, поставленный и настроенный провайдером. Хорошо если на холодильнике под магнитиком прилеплен листок с паролем от WiFi, но часто пароля никто не помнит, пока девайсы не забыли введенный пароль работают, а там надо будет вызывать спеца.
Простой
